Technologies

Faille de Bash : les autorités appellent à la vigilance des banques

Face à la menace représentée par la faille de Bash, les autorités américaines viennent d’appeler les banques à contrôler leur patrimoine applicatif. Bug "Shellsock" : les banques alertées et de nouveaux correctifs

La menace représentée par la faille de Bash, Shellsock, est prise très au sérieux par les autorités, d’autant plus que les premières exploitations de cette vulnérabilité sont déjà annoncées. C’est dans ce contexte que les autorités américaines appellent les banques à contrôler leur patrimoine applicatif pour se protéger contre les attaques. Comme le commente le Federal Financial Institutions Examinations Council (FFIEC), « L’utilisation généralisée de Bash et la possibilité d’automatiser l’exploitation de cette vulnérabilité présentent un risque matériel ».

Pour corriger cette vulnérabilité, les premiers patchs correctifs sont désormais disponibles, des mises à jour qu’il est conseillé de « installer au plus tôt ».

Si Red Hat propose déjà un correctif pour sa version de Linux, il est à préciser qu’Oracle a annoncé qu’une trentaine de ses solutions sont vulnérables et que seuls les correctifs pour Oracle Linux et Solaris sont pour le moment disponibles.

Pour tester sa vulnérabilité, un utilisateur peut saisir la commande suivante :

env ‘x=() { :;}; echo vulnerable’ ‘BASH_FUNC_x()=() { :;}; echo vulnerable’ bash -c « echo test »

Si la réponse est la suivante, alors le système est vulnérable à des attaques Shellshock :

$ env ‘x=() { :;}; echo vulnerable’ ‘BASH_FUNC_x()=() { :;}; echo vulnerable’ bash -c « echo test »
vulnerable
bash: BASH_FUNC_x(): line 0: syntax error near unexpected token `)’
bash: BASH_FUNC_x(): line 0: `BASH_FUNC_x() () { :;}; echo vulnerable’
bash: error importing function definition for `BASH_FUNC_x’
test

Emilie Dubois

Une fille dans l'informatique était mal vue à l'époque de mes études. C'est pour cette raison que l'on m'a cantonné à des rôles secondaires lors des travaux de groupe, notamment celui de centralisateur des informations. Ce rôle central, au final crucial, m'a plu. C'est comme cela que je suis devenue chef de projet. Plus tard, cette attirance pour l'information m'a poussé à suivre des cours de journalisme. Comme j'avais la propension de centraliser l'actualité technologique, un ami m'a dit un jour : «Emilie, tu peux le faire ». C'est comme cela que je me suis retrouvée embarquée dans l'aventure de linformatique.org. Vu mon boulot, ce sont surtout les nouvelles technologies qui m'intéressent le plus.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
Linformatique.org

Adblock détecté

S'il vous plaît envisager de nous soutenir en désactivant votre bloqueur de publicité